Importer et exporter des paramètres de configuration Microsoft Entra Connect

Les déploiements Microsoft Entra Connect varient d’une installation en mode Express de forêt unique à des déploiements complexes synchronisés entre plusieurs forêts à l’aide de règles de synchronisation personnalisées. En raison du grand nombre d’options et de mécanismes de configuration, il apparaît essentiel de comprendre les paramètres actifs et de pouvoir déployer rapidement un serveur avec une configuration identique. Cette fonctionnalité permet de cataloguer la configuration d’un serveur de synchronisation spécifique et d’importer les paramètres dans un nouveau déploiement. Vous pouvez comparer différents instantanés de paramètres de synchronisation pour visualiser facilement les différences entre deux serveurs ou le même serveur au fil du temps.

Chaque fois que la configuration est modifiée à partir de l’Assistant Microsoft Entra Connect, un nouveau fichier de paramètres JSON horodaté est automatiquement exporté vers %ProgramData%\AADConnect. Le nom du fichier de paramètres est de la forme Applied-SynchronizationPolicy-*.JSON, où la dernière partie du nom de fichier est une estampille temporelle.

Importante

Seules les modifications apportées par Microsoft Entra Connect sont automatiquement exportées. Toutes les modifications apportées à l’aide de PowerShell, de Synchronization Service Manager ou de l’éditeur de règles de synchronisation doivent être exportées à la demande, si nécessaire, pour conserver une copie à jour. Vous pouvez également utiliser l’exportation à la demande pour placer une copie des paramètres dans un emplacement sécurisé à des fins de récupération d’urgence.

Vous ne pouvez pas utiliser cette fonctionnalité si l’installation de Microsoft Entra Connect a été modifiée pour inclure le connecteur G-SQL ou le connecteur G-LDAP. Vous ne pouvez pas également combiner cette fonctionnalité lorsque vous utilisez une base de données Microsoft Entra Connect Sync existante. L’utilisation de la configuration d’importation/exportation et l’utilisation d’une base de données existante s’excluent mutuellement.

Exporter les paramètres de Microsoft Entra Connect

Pour afficher un résumé de vos paramètres de configuration, ouvrez l’outil Microsoft Entra Connect, puis sélectionnez la tâche nommée Afficher ou Exporter la configuration actuelle. Un résumé rapide de vos paramètres s’affiche, de même que la possibilité d’exporter la configuration complète de votre serveur.

Par défaut, les paramètres sont exportés vers %ProgramData%\AADConnect. Vous pouvez également choisir d’enregistrer les paramètres dans un emplacement protégé pour garantir la disponibilité en cas de sinistre. Les paramètres sont exportés à l’aide du format de fichier JSON et ne doivent pas être créés ou modifiés manuellement pour garantir la cohérence logique. L’importation d’un fichier créé à la main ou modifié n’est pas prise en charge et peut entraîner des résultats inattendus.

Importer les paramètres de Microsoft Entra Connect

Pour importer des paramètres précédemment exportés :

1. Installez Microsoft Entra Connect sur un nouveau serveur.

2. Après la page d’accueil , sélectionnez l’option Personnaliser .

3. Cliquez sur Importer les paramètres de synchronisation. Recherchez le fichier de paramètres JSON précédemment exporté.

4. Cliquez sur Installer.

   

Remplacez les paramètres de cette page, comme l'utilisation de SQL Server plutôt que d'utiliser LocalDB, ou d'un compte de service existant plutôt qu'un compte de service virtuel par défaut. Ces paramètres ne sont pas importés à partir du fichier de paramètres de configuration. Ils sont là à des fins d’information et de comparaison.

La modification du fichier JSON exporté pour modifier la configuration n’est pas prise en charge.

Expérience d’importation de l’installation

L’expérience d’importation de l’installation est intentionnellement simple avec des entrées minimales de l’utilisateur afin de facilement reproduire un serveur existant.

La section suivante montre les modifications que vous pouvez apporter pendant l’expérience d’installation. Toutes les autres modifications doivent être apportées après l’installation depuis l’Assistant Microsoft Entra Connect :

• Informations d’identification Microsoft Entra : le nom du compte de l’administrateur utilisé pour configurer le serveur d’origine est suggéré par défaut. Elle doit être modifiée si vous souhaitez synchroniser des informations vers un nouveau répertoire.
• Connexion utilisateur : les options de connexion configurées pour votre serveur d’origine sont sélectionnées par défaut et demandent automatiquement les informations d’identification ou d’autres informations requises lors de la configuration. Dans de rares cas, vous devrez peut-être configurer un serveur avec différentes options pour éviter de modifier le comportement du serveur actif. Sinon, appuyez simplement sur Suivant pour utiliser les mêmes paramètres.
• Informations d’identification du répertoire local : pour chaque répertoire local inclus dans vos paramètres de synchronisation, vous devez fournir des informations d’identification afin de créer un compte de synchronisation ou fournir un compte de synchronisation personnalisé créé préalablement. Cette procédure est identique à l’expérience de nouvelle installation à cette exception près : vous ne pouvez pas ajouter ou supprimer de répertoires.
• Options de configuration : comme pour une nouvelle installation, vous pouvez choisir de configurer les paramètres initiaux pour déterminer s’il faut démarrer la synchronisation automatique ou activer le mode de préproduction. La principale différence est que le mode intermédiaire est intentionnellement activé par défaut pour permettre la comparaison des résultats de configuration et de synchronisation avant d’exporter activement les résultats vers l’ID Microsoft Entra.

Un seul serveur de synchronisation peut se trouver dans le rôle principal et exporter activement les modifications de configuration vers l’ID Microsoft Entra. Tous les autres serveurs doivent être placés en mode de préproduction.

Migrer les paramètres à partir d'un serveur existant

Si un serveur existant ne prend pas en charge la gestion des paramètres, vous pouvez choisir de mettre à niveau le serveur en place ou de migrer les paramètres à utiliser sur un nouveau serveur intermédiaire.

La migration requiert l’exécution d’un script PowerShell qui extrait les paramètres existants à utiliser dans une nouvelle installation. Cette méthode est recommandée pour cataloguer les paramètres de votre serveur existant, puis les appliquer à un serveur de préproduction nouvellement installé. La comparaison des paramètres du serveur d’origine à un serveur nouvellement créé visualise rapidement les modifications entre les serveurs. Comme toujours, suivez le processus de certification de votre organisation pour vous assurer qu’aucune autre configuration n’est requise.

Processus de migration

Pour migrer les paramètres :

1. Lancez AzureADConnect.msi sur le nouveau serveur de préproduction et arrêtez-vous à la page Accueil de Microsoft Entra Connect.

2. Copiez MigrateSettings.ps1 à partir du répertoire Microsoft Entra Connect\Tools vers un emplacement sur le serveur existant. Par exemple, C:\setup, où setup est un répertoire créé sur le serveur existant.

   

   Si l’erreur s’affiche Message: A positional parameter cannot be found that accepts argument 'True'.:

   

   Modifiez ensuite le MigrateSettings.ps1 fichier et supprimez $true et exécutez le script :

   

3. Exécutez le script comme indiqué dans la capture d’écran suivante, puis enregistrez l’intégralité du répertoire de configuration du serveur de niveau inférieur. Copiez ce répertoire sur le nouveau serveur de préproduction. Vous devez copier l’intégralité Exported-ServerConfiguration-* du dossier sur le nouveau serveur.

   

   

4. Lancez Microsoft Entra Connect en double-cliquant sur l’icône du bureau. Acceptez les termes du contrat de licence logiciel Microsoft, puis sur la page suivante, sélectionnez Personnaliser.

5. Cochez la case Importer les paramètres de synchronisation . Sélectionnez Parcourir pour parcourir le dossier transféré Exported-ServerConfiguration-* . Sélectionnez cette option MigratedPolicy.json pour importer les paramètres migrés.

   

Vérification après l’installation

La comparaison du fichier de paramètres initialement importés avec le fichier de paramètres exportés du serveur nouvellement déployé est une étape essentielle pour comprendre les différences entre le déploiement prévu et le déploiement obtenu. L’utilisation de votre application de comparaison de texte favorite côte à côte offre une visualisation instantanée qui met rapidement en évidence les modifications souhaitées ou accidentelles.

Bien que de nombreuses étapes de configuration manuelles soient désormais supprimées, vous devez toujours suivre le processus de certification de votre organisation pour vous assurer qu’aucune autre configuration n’est requise. Cette configuration peut se produire si vous utilisez des paramètres avancés, qui ne sont pas actuellement capturés dans cette version de la gestion des paramètres.

Les limitations suivantes sont connues :

• Règles de synchronisation : la priorité d’une règle personnalisée doit être comprise dans la plage réservée de 0 à 99 pour éviter les conflits avec les règles standard de Microsoft. Le placement d’une règle personnalisée en dehors de la plage réservée peut se traduire par un décalage de votre règle personnalisée au fur et à mesure que des règles standard sont ajoutées à la configuration. Un problème similaire se produit si votre configuration contient des règles standard modifiées. La modification d’une règle standard est vivement déconseillée, et l’emplacement de la règle est susceptible d’être incorrect.
• Réécriture d’appareil : ces paramètres sont catalogués. Ils ne sont actuellement pas appliqués pendant la configuration. Si la réécriture d'appareil a été activée pour votre serveur d’origine, vous devez configurer manuellement cette fonctionnalité sur le serveur nouvellement déployé.
• Types d’objets synchronisés : bien qu’il soit possible de limiter la liste des types d’objets synchronisés (tels que les utilisateurs, les contacts et les groupes) à l’aide du Gestionnaire de services de synchronisation, cette fonctionnalité n’est actuellement pas prise en charge via les paramètres de synchronisation. Une fois l’installation terminée, vous devez réappliquer manuellement la configuration avancée.
• Attributs sélectionnés : bien qu’il soit possible de limiter la liste des attributs synchronisés (tels que les attributs d’extension) à l’aide du Gestionnaire de service de synchronisation, cette fonctionnalité n’est actuellement pas prise en charge via les paramètres de synchronisation. Une fois l’installation terminée, vous devez réappliquer manuellement la configuration avancée.
• Profils d’exécution personnalisés : bien qu’il soit possible de modifier l’ensemble des profils d’exécution par défaut à l’aide de Synchronization Service Manager, cette fonctionnalité n’est actuellement pas prise en charge via les paramètres de synchronisation. Une fois l’installation terminée, vous devez réappliquer manuellement la configuration avancée.
• Configuration de la hiérarchie de l’approvisionnement : cette fonctionnalité avancée du Synchronization Service Manager n’est pas prise en charge via les paramètres de synchronisation. Elle doit être reconfigurée manuellement une fois le déploiement initial terminé.
• Services de fédération Active Directory et authentification PingFederate : les méthodes d’authentification associées à ces fonctionnalités d’authentification sont automatiquement préélectionnées. Vous devez fournir de manière interactive tous les autres paramètres de configuration requis.

Contenu connexe

• Matériel et conditions préalables
• Paramètres Express
• Paramètres personnalisés
• Installer les agents Microsoft Entra Connect Health